Del II Rettslige utgangspunkter og
5.1 Personopplysningsloven og
5.1.1 Innledning
EUs nye personvernforordning (GDPR) trådte i kraft i EU 25. mai 2018, og forplikter Norge gjen-nom EØS-avtalen.1 Den nye
personopplysningslo-ven inkorporerer forordningen i § 1, slik at forord-ningens tekst gjelder som norsk lov.
Loven og forordningen regulerer helt eller del-vis automatisert behandling av personopplysnin-ger. Vernet om personopplysninger er en del av personvernet. Ettersom bilder, film og lydopptak av personer kan være personopplysninger som må behandles i tråd med personopplysningsloven, får reglene i personopplysningsloven betydning for anledningen til å ta, lagre og publisere bilder, film og lydopptak i sektorene Åpenhetsutvalget
1 Avtale om Det europeiske økonomiske samarbeidsområde (EØS-avtalen).
Boks 5.1 Prinsipper for personopplysningsvern
Behandlingen av personopplysninger skal være lovlig, skje rettferdig og med åpenhet
Behandling av personopplysninger skal være lovlig. Det betyr at den skal ha et lovlig grunnlag etter forordningen, og ellers oppfylle kravene til behandling av personopplysninger. Behandlin-gen av personopplysninger skal gjøres med respekt for de registrertes interesser og rime-lige forventninger. Behandlingen skal dessuten foregå på en måte som er åpen og forståelig for de registrerte, den skal ikke skje på tilslørte eller manipulerende måter.
Formålsbegrensning
Personopplysninger skal samles inn for spesi-fikke legitime formål som blir tydelig angitt.
Opplysningene skal ikke senere brukes til mål som er uforenelig med det opprinnelige for-målet.
Dataminimering
Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplys-ninger til det som er nødvendig for å realisere
formålet med innsamlingen. Når behandlingen ikke lenger er nødvendig for å oppfylle formålet skal behandlingen opphøre og opplysningene slettes.
Riktighet
Behandlingsansvarlig skal så langt det er mulig og rimelig sørge for at opplysningene er riktige, og treffe tiltak for å oppnå dette. Dette inne-bærer at behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige.
Lagringsbegrensning
Prinsippet om lagringsbegrensning innebærer at personopplysninger skal lagres slik at de slet-tes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.
Integritet og konfidensialitet
Opplysningene skal lagres på en måte som hin-drer at uautoriserte får tilgang til dem, og sikrer dem mot tap, ødeleggelse eller skade.
skal beskrive. Unntak fra personopplysningsloven av hensyn til ytrings- og informasjonsfriheten behandles i punkt 5.1.6. Retten til eget bilde etter åndsverkloven2 behandles i punkt 5.2 og forholdet mellom personopplysningsloven og åndsverk-loven behandles i punkt 5.3.
5.1.2 Prinsipper for personopplysningsvern Personvernforordningen fremsetter prinsipper for personopplysningsvern i artikkel 5. Disse prinsip-pene, som er grunnleggende for forordningen og kan ses på som en slags formålsparagraf, er nær-mere omtalt i boks 5.1.
5.1.3 Definisjoner – behandling av personopplysninger
5.1.3.1 «Personopplysninger»
Personopplysninger er i personvernforordningen artikkel 4 nr. 1 definert som «enhver opplysning om en identifisert eller identifiserbar fysisk per-son». Dette betyr at en stor mengde svært for-skjelligartede opplysninger er personopplysnin-ger i forordningens forstand. Fotografier, film og lydopptak der personer er gjenkjennelige inne-holder personopplysninger.3
5.1.3.2 «Behandling» av personopplysninger Behandling er i forordningen artikkel 4 nr. 2 defi-nert som:
«enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lag-ring, tilpasning eller endlag-ring, gjenfinning, kon-sulering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjenge-liggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring»
Nesten alt en kan tenke seg å gjøre med person-opplysninger kvalifiserer altså som «behand-ling».4 Også passiv lagring av et fotografi på en mobiltelefon kan være behandling av
personopp-lysninger. Dette må likevel ses i sammenheng med forordningens saklige virkeområde.
5.1.4 Saklig virkeområde 5.1.4.1 Innledning
Personopplysningsloven § 2 bestemmer lovens saklige virkeområde. Det fremkommer av § 2 før-ste ledd at «loven gjelder ved helt eller delvis auto-matisert behandling av personopplysninger og ved ikke-automatisert behandling av personopp-lysninger som inngår i eller skal inngå i et regis-ter». Hva «automatisert behandling» betyr er ikke definert i forordningen, men er forstått å favne vidt slik at det i alle fall inkluderer all behandling ved bruk av informasjonsteknologi.5
Samme bestemmelses andre ledd bokstav a setter noen begrensninger i det saklige virkeom-rådet; loven gjelder ikke «ved behandling av per-sonopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter».
I sektorene Åpenhetsutvalget skal omtale tar både profesjonelle aktører og privatpersoner bil-der, film og lydopptak. Profesjonelle aktører behandler ikke personopplysninger som ledd i rent personlige eller familiemessige aktiviteter.
Spørsmålet om hva som ligger i «rent personlige eller familiemessige aktiviteter» er dermed mest sentralt for å forstå forordningens saklige virke-område for privatpersoner som beveger seg i de fire sektorene.
Forordningens fortale gir noe utdypende infor-masjon om hvordan de enkelte bestemmelsene er tenkt forstått. I fortalens punkt 18 står det at
«[p]ersonlige eller familiemessige aktiviteter kan omfatte korrespondanse og føringer av adresselis-ter eller aktiviteadresselis-ter på sosiale nettverk samt aktivi-teter på internett i forbindelse med slike aktivite-ter». Dette er det mest naturlig å forstå som eksempler, og ikke som en uttømmende liste.
Begrensningen i saklig virkeområde for per-sonlige og familiemessige aktiviteter var den samme under det gamle personverndirektivet.6 Praksis om det gamle direktivet kan dermed gi informasjon om begrepets innhold.
En annen saklig begrensning finnes i person-opplysningsloven § 3 om forholdet til ytrings- og informasjonsfriheten, jf. personvernforordningen
2 Lov 15. juni 2018 nr. 40 om opphavsrett til åndsverk mv.
(åndsverkloven).
3 Dette er ukontroversielt, og forutsettes blant annet i per-sonvernforordningen, fortalepunkt 51.
4 Skullerud, Rønnevik, Skorstad & Pellerud (2018), s. 58.
5 Skullerud m. fl. (2018), s. 44.
6 Personverndirektivet (95/46/EC) artikkel 3 nr. 2 andre alternativ er identisk med personvernforordningen, artik-kel 2 nr. 2 bokstav c.
artikkel 85. Utvalget vil i punkt 5.1.6 komme nær-mere tilbake til innholdet i denne begrensningen.
5.1.4.2 Praksis fra den europeiske unions domstol EU-domstolen har behandlet to saker om hvordan personverndirektivets artikkel 3 nr. 2 andre alter-nativ skal tolkes.
Den første saken7 gjaldt en kvinne som i for-bindelse med menighetsarbeid hadde laget en nettside for konfirmanter. Nettsiden ble utformet hjemme hos henne, på hennes private datamas-kin. Den inneholdt humoristisk utformet informa-sjon om de ansatte i menigheten, hva arbeidet deres gikk ut på, og hva de likte å gjøre på friti-den. Enkelte ble omtalt med fullt navn, andre kun med fornavn. Hun hadde også publisert telefon-nummeret til enkelte av menighetens ansatte, og at én navngitt ansatt var femti prosent sykemeldt etter en benskade. Kvinnen hadde ikke informert kollegaene om nettstedet.
Spørsmålet var om publisering på denne typen nettside kommer inn under unntaket «rent per-sonlig eller familiemessig aktivitet».
Domstolen kom til at personopplysninger publisert på nettsider som alle kan gå inn og se på var klart utenfor unntaket. Domstolen uttalte at
«rent personlig og familiemessig aktivitet» måtte forstås slik at det «udelukkende vedrører de akti-viteter, der indgår i den enkelte borgers privatliv eller familieliv».8
Det fremgår av rettens argumentasjon at per-sonopplysninger som legges ut på åpne nettsider generelt faller under direktivets anvendelsesom-råde, uavhengig av om formålet med behandlin-gen er personlig. Åpne blogger må dermed anses å falle under personvernlovgivningens saklige anvendelsesområde.9 Dommen er fra 2003, altså før sosiale medier ble utbredt. Det er dermed van-skelig å si noe om når unntaket i artikkel 3 nr. 2 andre alternativ kan anvendes på deling i sosiale medier som ikke er tilgjengelige for alle.
Den andre saken gjaldt videoovervåkning av egen eiendom, men slik at en offentlig vei og en nabos inngangsparti også kom med på opptaket.10
Opptaket ble lagret på en slik måte at det ble auto-matisk slettet etter 24 timer, og ble ikke publisert noe sted. Spørsmålet var om denne typen opptak falt utenfor direktivets anvendelsesområde etter unntaket for «rent personlig eller familiemessig aktivitet».
Den europeiske unions domstol skrev at unn-taket måtte forstås snevert, både fordi direktivets unntak representerte innskrenkninger av retten til privatliv, og på grunn av bestemmelsens ordlyd («rent personlig»).11 Når personer som gikk forbi på gaten risikerte å komme med på opptaket, falt opptaket inn under direktivets anvendelsesom-råde.
EU-domstolen har dermed tolket begrensnin-gen relativt snevert i begge sakene den har behandlet om temaet.
5.1.4.3 Norske rettskilder
Formålet med personvernforordningen er å har-monere praktiseringen av personopplysningsver-net i EØS-området. Dette tilsier at nasjonale rettskilder har begrenset vekt i vurderingen av forordningens innhold.12 Det finnes heller ikke mange norske rettskilder som gir informasjon om rekkevidden av unntaket for personlige og familie-messige aktiviteter.
5.1.4.4 Anvendelsesområdet for privatpersoner er uklart
På denne bakgrunn ser det ut til at unntaket i per-sonopplysningsloven § 2 andre ledd bokstav a må forstås relativt snevert. Et personlig formål er ikke i seg selv avgjørende, selve aktiviteten behandlingen inngår i må være av personlig karakter.13 Publise-ring av personopplysninger herunder i form av bil-der, film eller lydopptak på åpne nettsibil-der, faller all-tid inn under lovens anvendelsesområde. Hvis opp-lysningene ikke deles med enhver internettbruker, men derimot er begrenset til en mindre krets av personer, blir rettstilstanden mer usikker. Fortalen bruker sosiale nettverk som eksempel på aktivite-ter som kan falle utenfor anvendelsesområdet.
Dette indikerer klart at slik deling i alle fall i en del tilfeller ikke reguleres av forordningen. Om behandling av personopplysninger i form av deling
7 Sag C-101/01 Bodil Lindqvist mot Åklagarkammaren i Jönköping.
8 Sag C-101/01 Bodil Lindqvist mot Åklagarkammaren i Jönköping, avsnitt 47.
9 Den nyere saken Sag C-345/17 Sergejs Buivids slår fast at deling av en video på en nettside der brukere kan sende, se og dele videoer (youtube.com), uten tilgangsbegrensning, faller under forordningens anvendelsesområde og ikke kan karakteriseres som behandling som et ledd i rent person-lige eller familiemessige aktiviteter.
10 Sag C-212/13 František Ryneš mot Úřad pro ochranu osob-ních údajů.
11 Sag C-212/13 František Ryneš mot Úřad pro ochranu osob-ních údajů, avsnitt 29.
12 Skullerud m. fl., s. 39.
13 Jacobsen (2011), § 3.
av bilder, film og lydopptak på sosiale medier er en
«rent personlig eller familiemessig aktivitet» må vurderes konkret.
Med utgangspunkt i bestemmelsens ordlyd, fortalens momenter og den praksis som er gjen-nomgått, vil størrelsen på kretsen av personer som har tilgang til opplysningene få vesentlig betydning. Dessuten kan et nært personlig for-hold mellom den som behandler personopplysnin-gene og den opplysninpersonopplysnin-gene gjelder, tale for at det er snakk om «rent personlige eller familiemessige aktiviteter». Etter bestemmelsens ordlyd kan opp-lysningenes karakter, og hvem som inngår i kret-sen opplysningene er delt med, sannsynligvis også spille en rolle i vurderingen. Disse momen-tene finner også støtte i litteratur om temaet.14
En kan dermed se for seg at på et sosialt medium, faller deling av personopplysninger som kan nå en stor mengde tilfeldige personer lettere inn under reguleringens anvendelsesområde enn deling til en mindre gruppe personer i ens egen husstand og/eller familie.
I Norge har Datatilsynet fram til nå vært tilba-keholdne med å sanksjonere privatpersoner som bryter personopplysningsloven.
5.1.5 Behandlingsgrunnlagene 5.1.5.1 Innledning
Forordningen artikkel 6 nr. 1 bokstav a til f opp-stiller seks alternative og likeverdige grunnlag for behandling av personopplysninger. De behand-lingsgrunnlagene som kan få betydning under utvalgets mandat er alternativ a, samtykke, alter-nativ c, rettslig forpliktelse og alteralter-nativ f, behand-ling som er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige […], med mindre den registrertes interesser eller grunnleggende rettig-heter og frirettig-heter går foran og krever vern av per-sonopplysninger, særlig dersom den registrerte er et barn.
5.1.5.2 Samtykke som behandlingsgrunnlag, jf. GDPR artikkel 6 nr. 1 bokstav a
Samtykke som behandlingsgrunnlag innebærer at hvis den registrerte har samtykket til det, har behandlingsansvarlig lov til å behandle person-opplysningene.
Samtykke er i personvernforordningen artik-kel 4 nr. 11 definert som «enhver frivillig,
spesi-fikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandlingen av personopplysninger som gjelder vedkommende».
Samtykket skal med andre ord være frivillig, informert og utvetydig, og skal spesifikt dekke den behandlingen samtykket gjelder. Den som tier samtykker ikke, samtykket må komme i form at en aktiv handling eller talehandling.15 Sam-tykke som behandlingsgrunnlag er nærmere omtalt i punkt 6.2.
5.1.5.3 Nødvendig for å oppfylle en rettslig forpliktelse, jf. GDPR artikkel 6 nr. 1 bokstav c
Dette alternativet åpner for behandling av person-opplysninger hvis behandlingen er «nødvendig»
for å oppfylle en «rettslig forpliktelse» som påhvi-ler behandlingsansvarlig. Etter artikkel 6 nr. 3 må et slik rettslig forpliktelse følge av enten unions-retten eller medlemsstatenes nasjonale rett, og formålet med behandlingen må fremgå av dette grunnlaget. Det er imidlertid ikke nødvendig at nasjonal lov eller unionsrett refererer til behand-ling av personopplysninger. I personopplysnings-lovens forarbeider er det lagt til grunn at både for-mell lov og forskrift kan være grunnlag som opp-fyller kravene i forordningen artikkel 6 nr. 3.16 Rettslig forpliktelse som mulig behandlingsgrunn-lag for bilder og film av barn i barnehagen er nær-mere behandlet i punkt 15.2.6.
5.1.5.4 Behandlingsansvarliges berettigede interesse, jf. GDPR artikkel 6 nr. 1 bokstav f 5.1.5.4.1 Innledning
Etter personvernforordningen artikkel 6 nr. 1 bok-stav f er behandlingsansvarliges berettigede interesse i behandlingen et lovlig behandlings-grunnlag, «når ikke den registrertes interesser eller grunnleggende rettigheter og friheter veier tyngre enn behandlerens berettigede interesser, særlig dersom den registrerte er et barn». Det er med andre ord lov å behandle personopplysninger hvis behandler (1) har en berettiget interesse i behandlingen, (2) behandlingen er nødvendig for å ivareta interessen og (3) en konkret interesseav-veining viser at behandlerens interesse veier tyn-gre enn interessene eller rettighetene til den
opp-14 Skullerud m. fl. (2018), s. 47.
15 Skullerud m. fl. (2018), s. 67.
16 Prop. 56 LS (2017–2018), s. 33.
lysningene gjelder («datasubjektet»). Grunnlaget kan imidlertid ikke brukes ved offentlige myndig-heters behandling av personopplysninger i forbin-delse med utførelse av deres oppgaver.17
5.1.5.4.2 «Berettiget interesse»
Hvilke interesser som er berettigede etter artik-kel 6 nr. 1 bokstav f er ikke nøye avgrenset.
Forordningens fortale punkt 47 mv. ramser opp noen eksempler på berettigede interesser,18 men listen er ikke uttømmende. EUs artikkel 29-gruppe har uttalt at svært mange og forskjelligar-tede interesser kan være berettigede i direktivets forstand.19 I tillegg til profesjonelle forhold og markedsføring, kan ytringsfriheten og varsling være interesser som begrunner behandling av personopplysninger etter artikkel 6. nr. 1 bokstav f.20 Ettersom det alltid skal foretas en interesseav-veining, uttaler arbeidsgruppen at det ikke er noe behov for strengt å avgrense hvilke interesser som kan være legitime.21 Den legitime interessen må imidlertid alltid være lovlig, reell og aktuell, og tydelig nok formulert til at en kan foreta interesse-avveiningsøvelsen.22
5.1.5.4.3 «Nødvendig»
For at behandlingen av personopplysninger skal anses nødvendig for å oppnå den berettigede interessen, må behandlingen være egnet til å oppnå formålet, og en må undersøke at den beret-tigede interessen ikke kunne vært ivaretatt med mindre inngripende tiltak overfor datasubjektet.23
5.1.5.4.4 Interesseavveining
Interesseavveiningen er en konkret avveining av hvordan behandlingen påvirker personen opplys-ningene gjelder, og hvor viktig behandlingen er for behandlingsansvarliges interesser. Momenter som skal vektlegges er blant annet hva slags interesser behandlingsansvarlige har i behandlin-gen, om opplysningene er av sensitiv art,
datasub-jektets status (er subjektet for eksempel et barn) og dets berettigede forventninger til behandlin-gen av personopplysninbehandlin-gene.24 Hvis behandlings-ansvarlig gjennomfører tiltak for å minimere infor-masjonen som blir behandlet, eller på andre måter beskytter datasubjektet utover lovgivningens krav, skal dette vektlegges. Hvis datasubjektet får mulighet til å reservere seg mot behandlingen får også det betydning.25
Fortalens punkt 47 slår fast at behandling på bakgrunn av en berettiget interesse i alle tilfeller krever en nøye vurdering av om den registrerte på tidspunktet for og i forbindelse med innsamling av personopplysninger med rimelighet kan for-vente at disse behandles for nevnte formål.
Det er behandlingsansvarlig selv som foretar interesseavveiningen, men det er også behand-lingsansvarlig som har risikoen hvis vurderingen ikke holder mål.26
5.1.6 Unntak av hensyn til ytringsfriheten og informasjonsfriheten
Etter personvernforordningens artikkel 85 plik-ter hver stat gjennom lov å sikre at ytrings- og informasjonsfriheten blir ivaretatt. Statene skal gi fritak fra store deler av forordningen hvis behand-lingen finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litte-rære ytringer, hvis dette er nødvendig for å bringe retten til vern av personopplysninger i samsvar med retten til ytrings- og informasjonsfrihet.
Bestemmelsen gir med andre ord anvisning på en nødvendighetsvurdering. Nødvendighetsvur-deringen sikrer at det ikke gjøres større unntak fra retten til privatliv enn hensynet til ytringsfrihe-ten gir grunnlag for. Unntak fra forordningen skal bare gis hvis hensynet til ytringsfriheten tilsier det.27 I dagens personopplysningslov § 3 viderefø-rer lovgiver teknikken fra den gamle personopp-lysningsloven § 7; unntak gis for alle ytringer som skjer til de nevnte formålene uten noen konkret vurdering av unntakets nødvendighet.28 I person-opplysningslovens forarbeider skriver departe-mentet at det verken er nødvendig eller hensikts-messig å innta en nødvendighetsvurdering etter forordningens mønster i lovens ordlyd.29
17 EUs personvernforordning fortalepunkt 47.
18 Forebygging av bedrageri, direkte markedsføring, interne administrative forhold og IT-sikkerhet.
19 Artikkel 29-gruppen var en permanent arbeidsgruppe innen EUs organisasjon som etter personverndirektivets artikkel 29 og 30 hadde som mandat å uttale seg om tolk-ningen av direktivet.
20 Article 29 Data Protection Working Party (2014), s. 25.
21 Article 29 Data Protection Working Party (2014), s. 24.
22 Article 29 Data Protection Working Party (2014), s. 55.
23 Article 29 Data Protection Working Party (2014), s. 55.
24 Article 29 Data Protection Working Party (2014), s. 55–56.
25 Article 29 Data Protection Working Party (2014), s. 56.
26 Skullerud m. fl. (2018), s. 85.
27 Dette bekrefter EU-domstolen i Sag C-345/7 Sergejs Bui-vids.
28 Lov 14. april 2000 nr. 31 om behandling av personopplysnin-ger (opphevet), § 7.
Datatilsynet uttalte i høringsrunden til ny per-sonopplysningslov at nødvendighetsvurderingen burde tas inn i lovteksten. De skrev i sitt hørings-svar at ikke å henvise til nødvendighetsregelen etter deres erfaring hadde gjort unntaket vanske-ligere å anvende. Datatilsynet skrev videre at en mekanisk regel av denne typen kan resultere i et uforholdsmessig unntak fra retten til privatliv og personvern. Departementet mente likevel at det ikke burde gjøres vesentlige endringer i gjel-dende rett på dette området uten en nærmere utredning.30
Utvalget legger til grunn at vurderingen må gjøres på bakgrunn av personopplysningsloven
§ 3 i lys av personvernforordningen artikkel 85.
Det må derfor gjøres en nødvendighetsvurdering, men journalistisk virksomhet må normalt anses å falle inn under unntaket.31 Datatilsynet har munt-lig opplyst utvalget om at Datatilsynet har begynt å praktisere nødvendighetsvurderingen, og at de bygger dette på kravet i EMK artikkel 8 om å foreta en forholdsmessighetsvurdering, som inne-holder en nødvendighetsvurdering.
Når unntaket kommer til anvendelse kommer kun en håndfull regler, som primært gjelder internkontroll og sikkerhet, til anvendelse. Det følger av fortalens punkt 153 at begrepet «journa-listiske øyemed» ikke må forstås for snevert. Unn-taket er ikke forbeholdt de redaktørstyrte medi-ene.For særmerknad fra utvalgsmedlemmene Ergo og Foss, se kapittel 16.